シェルコード・ライティングの有効性 第2回 オリジナルのシェルコード作成技術の必要性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

シェルコード・ライティングの有効性 第2回 オリジナルのシェルコード作成技術の必要性

特集 特集

攻撃対象のコンピュータを制御するために送り込む不正プログラムコードをシェルコードと呼ぶ。シェルコード・ライティングには高い技術水準が求められ、通常は公開されている既存のコードを流用し、自分では作成しないことが多い。

今回は、3月に海外から専門家を招き「Kernel ExploitとShellcodeの作成」と題した、シェルコード作成の本格的な研修を国内で初めて実施するサイバーディフェンス研究所の、最高技術責任者ラウリ・コルツ・パルン氏(以下敬称略)に、オリジナルなシェルコードを書く意味について話を聞いた。セキュリティ技術者のシェルコードに関する知識の必要性は高まりつつあるという。

Fuzzing & Exploit Writing 上級編 Kernel ExploitとShellcodeの作成http://www.cyberdefense.jp/service_seminar/seminar08.html



Scan編集部(以下Scan):シェルコードは通常、たとえばMetasploitなど、一般公開されているものを使うケースがほとんどということですが、オリジナルのシェルコードを自分で書く必要性はどこにあるのですか?

ラウリ:一般公開されているシェルコードは、技術レベルの低い攻撃者に実際に広く使われていますが、棚に並んでいるシェルコードと、オリジナルのシェルコードは、模型と本物くらいの差があります。模型はあくまで模型で、実際に攻撃することはできませんが、本物は武器として使えます。

Scan:エアガンと実際の銃のような差ですか

ラウリ:まあそうですね。

Scan:その差はどこから来るのですか?

ラウリ:棚に並んでいるシェルコードは、脆弱性の存在を検証するための検証用です。セキュリティ技術者によって十分研究されていますので、当然攻撃は検知されやすいですし、使えば痕跡や証拠を残すことになります。

また、検証は一定の条件下で行われるため、攻撃対象の環境が変われば、公開されているシェルコードは動作しないことも多い。多くは実際の攻撃には役に立たないでしょう。

Scan:攻撃者側ではなく、企業のセキュリティ技術者がシェルコード・ライティングを学ぶ必要性は何ですか?

ラウリ:企業のセキュリティ担当の人が、自分の会社のシステムに侵入されて重要なデータが盗まれていたことに、ある日気がついたとしても、どんなシェルコードを使って、どこをどうすり抜けて犯行を行ったかを理解し、攻撃を再現できなければ、有効な対策を打つことができません。IDSで検知しているはずなのに、なぜアラートが出なかったのかを推定するのは難しい仕事です。

そんなケースで、シェルコード・ライティングの知識が役立つ場合があると思います。

今後、ネットで拾い集めたツールを使うスクリプトキディの攻撃ではなく、明確な意図を持った攻撃者から、企業のシステムを守るためには、シェルコード・ライティングの知識は今後さらに必要になっていくと言えるでしょう。

Fuzzing & Exploit Writing 上級編 Kernel ExploitとShellcodeの作成http://www.cyberdefense.jp/service_seminar/seminar08.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×